Přehled – správa stavu zabezpečení AI
Plán Správa stavu zabezpečení cloudu v programu Defender (CSPM) v Programu Microsoft Defender for Cloud zajišťuje generování podnikových, více nebo hybridních cloudů (v současné době Azure a AWS) generující aplikace AI po celý jejich životní cyklus. Defender for Cloud snižuje rizika pro úlohy umělé inteligence napříč cloudy:
- Objevte generující fakturu AI (kusovník AI), která zahrnuje komponenty aplikací, data a artefakty AI z kódu do cloudu.
- Posílení stavu zabezpečení aplikací umělé inteligence s integrovanými doporučeními a prozkoumáním a nápravou rizik zabezpečení
- Analýza cesty útoku k identifikaci a nápravě rizik
Důležité
Povolení možností správy stavu zabezpečení AI u účtu AWS, který už:
- Je připojený k vašemu účtu Azure.
- Má povolenou funkci CSPM v programu Defender.
- Má typ oprávnění nastavený jako přístup s nejnižšími oprávněními.
Oprávnění pro tento konektor je potřeba překonfigurovat tak, aby povolte příslušná oprávnění pomocí následujícího postupu:
- Na webu Azure Portal přejděte na stránku Nastavení prostředí a vyberte příslušný konektor AWS.
- Vyberte Konfigurovat přístup.
- Ujistěte se, že je typ oprávnění nastavený na Přístup s nejnižšími oprávněními.
- Dokončete konfiguraci podle kroků 5 až 8 .
Zjišťování aplikací generující AI
Defender for Cloud zjišťuje úlohy AI a identifikuje podrobnosti o kusovníku AI vaší organizace. Tato viditelnost umožňuje identifikovat a řešit ohrožení zabezpečení a chránit generující aplikace AI před potenciálními hrozbami.
Defender for Cloud automaticky a nepřetržitě zjišťuje nasazené úlohy AI napříč následujícími službami:
- Azure OpenAI Service
- Azure Machine Learning
- Amazon Bedrock
Defender for Cloud může také zjišťovat ohrožení zabezpečení v rámci závislostí generující knihovny AI, jako jsou TensorFlow, PyTorch a Langchain, a to kontrolou zdrojového kódu pro chybnou konfiguraci infrastruktury jako kódu (IaC) a imagí kontejnerů kvůli ohrožením zabezpečení. Pravidelné aktualizace nebo opravy knihoven můžou bránit zneužití, chránit aplikace generující AI a udržovat jejich integritu.
Díky těmto funkcím poskytuje Defender for Cloud úplný přehled úloh AI z kódu do cloudu.
Omezení rizik pro generování aplikací umělé inteligence
CsPM v programu Defender poskytuje kontextové přehledy o stavu zabezpečení AI vaší organizace. Rizika v rámci úloh umělé inteligence můžete snížit pomocí doporučení zabezpečení a analýzy cest útoku.
Prozkoumání rizik s využitím doporučení
Defender for Cloud vyhodnocuje úlohy AI. Vydává doporučení týkající se identity, zabezpečení dat a vystavení internetu za účelem identifikace a stanovení priorit kritických problémů se zabezpečením.
Detekce chybných konfigurací IaC
Zabezpečení DevOps detekuje chybné konfigurace IaC, které můžou vystavit generující aplikace umělé inteligence ohrožením zabezpečení, jako jsou over-exposed řízení přístupu nebo neúmyslně vystavené veřejně vystavené služby. Tyto chybné konfigurace můžou vést k narušení zabezpečení dat, neoprávněnému přístupu a problémům s dodržováním předpisů, zejména při zpracování striktních předpisů na ochranu osobních údajů.
Defender for Cloud vyhodnocuje konfiguraci generativních aplikací AI a poskytuje doporučení zabezpečení ke zlepšení stavu zabezpečení AI.
Pokud chcete později zabránit složitým problémům, opravte zjištěné chybné konfigurace v rané fázi vývojového cyklu.
Mezi aktuální kontroly zabezpečení umělé inteligence IaC patří:
- Použití privátních koncových bodů služby Azure AI
- Omezení koncových bodů služby Azure AI
- Použití spravované identity pro účty služby Azure AI
- Použití ověřování na základě identit pro účty služby Azure AI
Prozkoumání rizik s využitím analýzy cest útoku
Analýza cesty útoku detekuje a snižuje rizika pro úlohy umělé inteligence. Vytvoření modelů AI na konkrétní data a vyladění předem natrénovaného modelu v konkrétní datové sadě za účelem zlepšení výkonu související úlohy jsou fázemi, ve kterých mohou být data vystavena.
Díky nepřetržitému monitorování úloh umělé inteligence může analýza cesty útoku identifikovat slabá místa a potenciální ohrožení zabezpečení a postupovat podle doporučení. Kromě toho se rozšiřuje i na případy, kdy se data a výpočetní prostředky distribuují napříč Azure, AWS a GCP.